问题标签 [ws-trust]

我们在 SAP Netweaver 和 ADFS（充当 STS）之间设置了 SSO。因此，一些用户将登录自定义 ASP.Net 应用程序，该应用程序将向 ADFS 请求 SAML 断言以访问 SAP 系统。

问题是，根据 SAP 文档，SAP 系统的依赖方标识符不是 URL（它只是一个名称），并且这种方式是在 ADFS 中指定的（例如：SAPSYSTEMRPID）。

当 ApplysTo 字段需要 Uri 时，我到底如何获得使用 WS-TRUST（ADFS 提供的）颁发的令牌？是否有默认方案，一些约定？

这几天我一直在用头撞桌子，我显然错过了一些东西

我的理解是，声明是基于 WS-trust 标准的 STS 事物，与 SAML2 标准无关。WS-trust STS 令牌可以使用 SAML 以该格式发送声明。我对么？

我有一个 WCF 服务，它是使用 WIF 构建的自定义 STS 的依赖方。我的 STS 向我的客户端应用程序颁发密钥持有者令牌。我创建了一个新的“后端”WCF 服务，我需要从现有的“前端”服务中调用它。 如何在前端服务中使用传入的安全令牌来调用后端服务，而无需从 STS 检索新令牌？

到目前为止，在我的前端服务中，使用自定义 Saml11SecurityTokenHandler 访问传入的 SamlSecurityToken 没有问题。

之后，我尝试了两种不同的方法将带外令牌附加到目标后端服务上的服务调用：

1. 创建自定义 IssuedSecurityTokenProvider
2. 使用 ChannelFactoryOperations.CreateChannelWithIssuedToken

但是，这两种尝试都会导致错误。据我所知，这似乎是同样的死胡同——他们不接受签名的 SamlSecurityToken。似乎即使这两种方法都接受基本 SecurityToken 类，但它们都只有在给定 GenericXmlSecurityToken 实例而不是 SamlSecurityToken 时才起作用。

更新：这是一个代码示例和项目符号 #1的异常详细信息

更新 2：在做了更多研究之后，我能找到的最接近的东西是一篇关于使用WIF/ADFS 的身份委托的文章，它基本上只使用 ActAs 令牌，其中前端服务将使用它的令牌向 STS 发出请求从客户端应用程序接收。这需要对我们的自定义 STS 进行更新，我们希望此时不要这样做。我开始怀疑我在图表中说明的方法是否对 WIF 或 WS-Trust 有效？

1. WSO2 支持什么 WS-Trust 版本？

2. 是否支持 WS-Trust 1.4 的 ActAs？

3. 我们如何通过委托登录到我们的后端服务？

Windows Identity Foundation 无法接受从 WSO2 的 WS-Trust 请求的 SAML2 令牌（请参阅异常）。是否可以更改令牌或是否有解决此问题的已知解决方案？

我正在尝试构建一个与使用 WS-Trust 的 .NET WCF 服务进行通信的 Java 客户端。

我的 .net STS 使用 WS2007Http 绑定和基于 UserNameToken 的身份验证，托管在 http 端点上。

设置 NegotiateServiceCredential 设置为 false 以禁止使用 Apache CXF 不支持的 SslContextToken。

我的 Java 客户端代码如下：

结果是一个例外：

这似乎是完全错误的，因为加密对象是在代码中设置的。我已经尝试通过 jaxws:client 配置使用 .properties 文件配置加密并在代码中进行设置。

使用 CXF STS 服务和 STS 客户端时出现错误

我的配置如下

我正在关注https://web-gmazza.rhcloud.com/blog/entry/cxf-sts-tutorial中的教程，并且本地 STS WSDL urlhttp://localhost:8080/StsService/services/STS?wsdl工作正常。请提出一些意见

使用 CXF STS-STS 客户端示例我遵循了https://web-gmazza.rhcloud.com/blog/entry/cxf-sts-tutorial中的示例，我的示例代码位于https://github.com/sampleref/ CXFSecurity供参考。在调试时，我在 STS 提供商处发现了如下错误

请提供一些输入，这对我来说真的很重要。我在CXF STS client throws Request does not contain Security header/Response message does not contain WS-Addressing properties 上发布了来自 STS Client 的更详细错误

我正在尝试使用 WIF 4.5 和 WS-Trust 从 ADFS 获取 SAML 断言，以便我可以将该断言发送给服务提供商并获取 OAuth 票证。

事实上，我已经能够获得 SAML 断言，但它不是一个有效的断言，因为没有收到来自 SubjectConfirmationData 的 Recipient 属性。这是一个强制性的数据。

我正在控制台应用程序中进行测试（因此它使用我的凭据执行，正如我使用 Fiddler 检查过的，它在接收断言之前执行 Kerberos 协商）。我正在获取令牌（基于RequestSecurityToken 使用 windows 凭据和 .net 4.5 WIF）：

使用此代码，发送的请求如下：

我收到的断言似乎是有效的，但是 SubjectConfirmationData 中缺少收件人，因此，当我将该断言发送给服务提供者时，身份验证失败。

如果我使用向服务器发送 a 的 Web IdP Initiated Login，samlp:AuthnRequest并解码在这种情况下 ADFS 发出的获得的 SAML 断言（再次使用 Fiddler），则会收到 Recipient 属性，并且 SSO 工作。我可以看到用于获取断言的方法不同（在这种情况下使用了 Web-SSO），但是在这两种情况下，依赖方是相同的，因此发出的断言应该是相似的。

使用 WS-Trust 从 ADFS 获取令牌时，有什么方法可以接收正确的收件人？

使用 CXF-STS 我遇到了异常<<||2014-07-14 21:51:14,125||http-apr-8080-exec-8|DEBUG|org.apache.ws.security.processor.Signat‌​ureProcessor:428||||>> XML Signature verification has failed <<||2014-07-14 21:51:14,127||http-apr-8080-exec-8|DEBUG|org.apache.ws.security.processor.Signat‌​ureProcessor:431||||>> Signature Validation check: false

如帖子所述，CXF STS Usernametoken 对称绑定 XML 签名验证失败 https://issues.apache.org/jira/browse/CXF-5679 https://issues.apache.org/jira/browse/CXF-5679 所以假设它已针对 3.0.0 版本修复，我移至它。现在在启动时我面临的错误是

我无法弄清楚如何才能真正使用 CXF STS 示例。请提供一些很好的示例参考，以在 UsernameToken with Encryption Scenario 中使用 CXF STS

谢谢